KRWLEGAL rekomendowana w rankingach IFLR1000 2024 · Rzeczpospolita 2024 · The Legal 500

Konferencja uzgodnieniowa dot. projektu ustawy wdrażającej DORA

Jakie najważniejsze uwagi zostały poddane dyskusji w ramach opiniowania projektu ustawy implementującej rozporządzenie DORA?

28 czerwca 2024

W dniach 25 i 27 czerwca 2024 r. eksperci z Kancelarii Krzysztof Rożko i Wspólnicy mieli przyjemność uczestniczyć w konferencji uzgodnieniowej dotyczącej projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego.

Podczas dyskusji omówiono m.in. trudności legislacyjne związane z jednoczesnym wdrożeniem  rozporządzenia DORA oraz implementacją dyrektywy NIS2. Zarówno DORA , jak i NIS2 regulują pewne szczególne obowiązki podmiotów finansowych w związku z zapewnieniem odporności cyfrowej rynku regulowanego. Na styku tych dwóch aktów prawnych pojawia się wiele kwestii, które należy zaadresować w polskim ustawodawstwie. Przedstawiciele Ministerstwa Finansów wyjaśnili, iż mają świadomość problemu oraz wskazali, że uzgodnienie relacji pomiędzy obydwoma aktami prawnymi, nastąpi w ramach niniejszego procesu legislacyjnego.

Innym zagadnieniem, które wywołało ożywioną dyskusję była kwestia uregulowania katalogu podmiotów objętych zakresem podmiotowym DORA. Jak wskazano w wielu uwagach, katalog podmiotów objętych nadzorem Komisji wg obecnego projektu ustawy jest niepełny. W związku z powyższym, UKNF zaproponował rezygnację z kazuistycznego określania katalogu podmiotów objętych nadzorem Komisji i zastosowanie odesłania w tym zakresie do przepisów rozporządzenia DORA. Z przebiegu dyskusji oraz deklaracji przedstawicieli Ministerstwa Finansów można wywnioskować, że na chwilę obecną, kwestia sposobu uregulowanie katalogu podmiotów objętych nadzorem KNF w zakresie regulacji DORA pozostaje otwarta.

W toku konferencji uzgodnieniowej wiele czasu poświęcono kwestii określenia terminów realizacji obowiązków informacyjnych dot. ustaleń umownych z zewnętrznymi dostawcami ICT uregulowanych w art. 28 ust. 3 rozporządzenia DORA. W szczególności, kontrowersje wzbudził postulat UKNF, dotyczący skrócenia terminu przekazywania rejestrów informacji dot. ustaleń umownych z dostawcami ICT do dnia  24 stycznia każdego roku. Na chwilę obecną kwestia ta nie została rozstrzygnięta.

W dalszej części konferencji poddano również pod dyskusję uwagę de lege ferenda zgłoszoną przez UKNF, dotyczącą postulatu wprowadzenia przepisu umożliwiającego nakazanie podmiotowi finansowemu tymczasowe zawieszenie, w części albo w całości, korzystania z usługi świadczonej przez zewnętrznego dostawcę usług ICT lub jej wdrażania bądź wypowiedzenie, w części lub w całości, stosownych ustaleń umownych zawartych z zewnętrznymi dostawcami usług ICT. Rozporządzenie DORA nadaje już pewne uprawnienia organom nadzoru związane z możliwością wydania nakazu zawieszenia lub zerwania współpracy z dostawcą usług ICT, jednak dotyczą one jedynie kluczowych zewnętrznych dostawców usług ICT. UKNF zaproponował, aby rozszerzyć jej uprawnienia do możliwości nakazania zerwania współpracy z każdym zewnętrznym dostawcą usług ICT. Zgodnie z oceną UKNF takie uprawnienie „ma na celu zapewnić wysoki poziom operacyjnej odporności cyfrowej sektora finansowego, w szczególności, w kontekście zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT”. Uczestnicy rynku wskazali, że tak szerokie uprawnienia UKNF mogą godzić w niezależną ocenę podmiotów związaną z zarządzaniem ryzykiem współpracy ze stronami trzecimi oraz ograniczać swobodę umów.

UKNF wniósł również uwagę de lege ferenda, dotyczącą wprowadzenia przepisu umożliwiającego Komisji uczestniczenie w wymianie informacji w zaufanych społecznościach podmiotów finansowych. Informacje miałyby obejmować zagadnienia dotyczące m.in.: cyberzagrożenia i wyniki analiz takich cyberzagrożeń, w tym oznaki naruszenia integralności systemu, taktykę, techniki i procedury, czy ostrzeżenia dotyczące cyberbezpieczeństwa oraz narzędzia konfiguracji.

W trakcie analizy uwag dotyczących zachowania prywatności osób wywiązała się dyskusja pomiędzy przedstawicielem Urzędu Ochrony Danych Osobowych a przedstawicielem UKNF –  UODO zgłosiło uwagę dotyczącą uregulowania obowiązku zachowania zasad dotyczących ochrony danych osobowych w stosunku do wymiany informacji o zagrożeniach i incydentach - np. adresów IP, tzw. botnetów. W rezultacie w projektowanej ustawie mają zostać wprowadzone regulacje nakazujące poszanowanie prywatności osób fizycznych podczas wymiany informacji pomiędzy podmiotami na rynku regulowanym i UKNF.

W drugim dniu konferencji Ministerstwo przeprowadzono dyskusję na temat uwag zgłoszonych w ramach konsultacji publicznych. Wszystkie uwagi zgłoszone przez Zespół KRWLEGAL zostały przyjęte bez zastrzeżeń lub skierowane do dalszej analizy w celu ustalenia wspólnego rozwiązania nakreślonych problemów.

W trakcie konsultacji szeroko omówiono kwestie związane z outsourcingiem – m.in. zwrócono uwagę, iż projekt ustawy zawęża definicję outsourcingu jedynie do powierzenia czynności związanych z technologiami informacyjno-komunikacyjnymi. ZBP zaznaczył, że „zakres czynności powierzanych w reżimie outsourcingu obejmuje również inny rodzaj czynności”. Odpowiedzią Ministerstwa Finansów było wyjaśnienie, że MF nie chce ingerować w wypracowane definicje dotyczące outsourcingu w ramach tzw. „lex warzywniak”. W trakcie dyskusji podniesiono jednak argument, że „warzywniak” uregulował kwestie outsourcingu tylko dla banków, natomiast dostawcy usług płatniczych nie zostali objęci stosowaniem tej definicji i dlatego należałoby doprecyzować zagadnienia związane z outsourcingiem dla innych uczestników rynku finansowego, którzy podlegają pod DORA. Kwestia pozostała otwarta do dalszej analizy.

Na koniec należy odnotować, że w najbliższych tygodniach Ministerstwo Finansów zapowiedziało intensywne prace nad przygotowaniem zmodyfikowanego projektu ustawy. Na chwilę obecną nie jest pewne, czy zaktualizowany projekt również zostanie poddany konsultacjom publicznym. 

Na podstawie przebiegu prac w ramach konferencji uzgodnieniowej oraz przedstawionych informacji, można również odnieść wrażenie, że zakończenie procesu legislacyjnego w terminie umożliwiającym wejście w życie ustawy z dniem 17 stycznia 2025 r. może być dużym wyzwaniem dla legislatora.

Autor: Daniel Niwiński

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa. w tym świadczy usługi m. in. w doradztwa regulacyjnego dla sektora finansowego, dyrektywy NIS 2, rozporządzenia DORA, doradztwa w zakresie cyberbezpieczeństwa.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

  • Kontakt

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn